5 трюків вбивці, щоб отримати максимальну віддачу від Wireshark
Wireshark має досить багато хитрощів, від захоплення віддаленого трафіку до створення правил брандмауера на основі захоплених пакетів. Читайте далі для більш просунутих порад, якщо ви хочете використовувати Wireshark як професіонал.
Ми вже розглянули базове використання Wireshark, тому обов'язково прочитайте нашу оригінальну статтю для ознайомлення з цим потужним інструментом аналізу мережі.
Розділ імені мережі
Під час збору пакетів ви можете бути роздратовані тим, що Wireshark відображає лише IP-адреси. Ви можете самостійно конвертувати IP-адреси до доменних імен, але це не дуже зручно.
Wireshark може автоматично вирішувати ці IP-адреси для доменних імен, хоча ця функція не включена за промовчанням. Коли ви вмикаєте цей параметр, ви бачите доменні імена замість IP-адрес, коли це можливо. Недоліком є те, що Wireshark доведеться шукати кожне доменне ім'я, забруднюючи захоплений трафік додатковими DNS-запитами.
Цей параметр можна ввімкнути, відкривши вікно налаштувань з Редагувати -> Налаштування, натисканням кнопки Розділ імені панель і натиснувши кнопку "Увімкнути роздільну здатність імен мережі".
Початок автоматичного зйомки
Ви можете створити спеціальний ярлик, використовуючи аргументи командного рядка Wirshark, якщо ви хочете почати захоплення пакетів без затримки. Вам потрібно знати номер мережевого інтерфейсу, який ви хочете використовувати, на основі порядку, у якому Wireshark відображає інтерфейси.
Створіть копію ярлика Wireshark, клацніть правою кнопкою миші, перейдіть у вікно Властивості та змініть аргументи командного рядка. Додати -i # -k до кінця ярлика, замінивши # з номером інтерфейсу, який ви хочете використовувати. Параметр -i вказує інтерфейс, тоді як опція -k наказує Wireshark розпочати захоплення відразу.
Якщо ви використовуєте Linux або іншу не-Windows операційну систему, просто створіть ярлик з наступною командою або запустіть його з терміналу, щоб розпочати захоплення відразу:
wireshark -i # -k
Додаткові ярлики командного рядка можна знайти на сторінці керівництва Wireshark.
Захоплення трафіку з віддалених комп'ютерів
За промовчанням Wireshark фіксує трафік з локальних інтерфейсів вашої системи, але це не завжди місце, з якого ви бажаєте захопити. Наприклад, ви можете захопити трафік з маршрутизатора, сервера або іншого комп'ютера в іншому місці в мережі. Тут входить функція віддаленого зйомки Wireshark. Ця функція доступна лише на Windows - офіційна документація Wireshark рекомендує користувачам Linux використовувати тунель SSH.
По-перше, вам доведеться встановити WinPcap на віддаленій системі. WinPcap поставляється з Wireshark, тому вам не доведеться встановлювати WinPCap, якщо у віддаленій системі вже встановлено Wireshark..
Після того, як воно буде відкрито, відкрийте вікно Служби на віддаленому комп'ютері - натисніть кнопку Пуск, введіть services.msc у вікні пошуку в меню Пуск і натисніть Enter. Знайдіть Протокол захоплення віддалених пакетів у списку і запустити його. Цю службу за замовчуванням вимкнено.
Натисніть кнопку Варіант захопленняз посиланням у Wireshark, потім виберіть Дистанційне з інтерфейсу.
Введіть адресу віддаленої системи та 2002 як порт. Ви повинні мати доступ до порту 2002 на віддаленій системі для підключення, тому вам може знадобитися відкрити цей порт у брандмауері.
Після підключення ви можете вибрати інтерфейс на віддаленій системі з розкривного списку Інтерфейс. Натисніть Початок після вибору інтерфейсу для запуску віддаленого захоплення.
Wireshark в терміналі (Тшарк)
Якщо у вашій системі немає графічного інтерфейсу, можна використовувати Wireshark з терміналу з командою TShark.
Спочатку видайте tshark -D команду. Ця команда дасть вам номери мережевих інтерфейсів.
Як тільки у вас є, запустіть tshark -i # Команда, замінивши # на номер інтерфейсу, який ви хочете захопити.
TShark діє як Wireshark, друкуючи трафік, який він захоплює до терміналу. Використовуйте Ctrl-C коли потрібно зупинити захоплення.
Друк пакетів до терміналу не є найбільш корисним. Якщо ми хочемо більш детально перевірити трафік, ми можемо дати TShark скинути його до файлу, який ми можемо перевірити пізніше. Скористайтеся цією командою, щоб передати трафік у файл:
tshark -i # -w ім'я файлу
Тшарк не буде показувати вам пакети, коли вони будуть захоплені, але він буде рахувати їх, коли він їх захоплює. Ви можете використовувати Файл -> відчинено у програмі Wireshark відкриє файл захоплення пізніше.
Для отримання додаткової інформації про параметри командного рядка TShark див.
Створення правил ACL брандмауера
Якщо ви є мережевим адміністратором, який керує брандмауером, і ви використовуєте Wireshark для того, щоб торкатися навколо, ви можете вжити заходів на основі трафіку, який ви бачите - можливо, щоб заблокувати деякий підозрілий трафік. Wireshark's Правила брандмауера ACL Інструмент генерує команди, які потрібно створити для брандмауера.
Спочатку виберіть пакет, для якого потрібно створити правило брандмауера, натиснувши на нього. Після цього натисніть кнопку Інструменти і виберіть Правила брандмауера ACL.
Використовувати Продукт для вибору типу брандмауера. Wireshark підтримує Cisco IOS, різні типи брандмауерів Linux, включаючи iptables і брандмауер Windows.
Ви можете використовувати Фільтр щоб створити правило на основі MAC-адреси системи, IP-адреси, порту або обох IP-адрес і порту. Ви можете побачити менше параметрів фільтра, залежно від вашого брандмауера.
За замовчуванням інструмент створює правило, яке забороняє вхідний трафік. Ви можете змінити поведінку правила, знімаючи прапорець Вхідні або Заперечувати прапорці. Після створення правила використовуйте Копіювати щоб скопіювати його, а потім запустити на брандмауері, щоб застосувати правило.
Ви хочете, щоб ми написали щось конкретне про Wireshark у майбутньому? Дайте нам знати в коментарях, якщо у вас є запити або ідеї.